49 proc. polskich przedsiębiorstw i organizacji mogło doświadczyć ataku wykorzystującego głośną lukę w pakiecie logowania Log4j – wynika z analiz Check Point Research. Jak do tej pory eksperci ds. bezpieczeństwa wyśledzili około 1,3 miliona prób użycia podatności. Łącznie nawet 44 proc. firm na całym świecie było skanowanych lub atakowanych przez cyberprzestępców.
Cztery dni po ogłoszeniu eksploitów Apache 4Logj (CVE-2021-44228), eksperci ds. bezpieczeństwa cybernetycznego z Check Point Research nadal zbierają i analizują dane dotyczące aktywności cyberprzestępców w tym zakresie. Do tej pory dokonano przeszło 1 272 000 prób ataków na organizacje z całego świata, a 46 proc. z nich było przeprowadzanych przez znane złośliwe grupy hakerskie. Próby wykorzystania luki zostały udokumentowane w 44 proc. firm na świecie i blisko połowie firm i organizacji w Polsce.
Apache Log4j jest najpopularniejszą biblioteką logowania Java z ponad 400 000 pobrań z jej projektu na GitHubie. Jest wykorzystywana przez niezliczoną liczbę firm na całym świecie, umożliwiając logowanie w szerokim zestawie popularnych aplikacji. Wykorzystanie luki jest – zdaniem specjalistów – relatywnie proste i pozwala na przejęcie kontroli nad serwerami internetowymi opartymi na Javie oraz przeprowadzenie ataku zdalnego wykonania kodu.
– Po opublikowaniu eksploracji (w piątek) nastąpiło przeskanowanie Internetu przez cyberprzestępców. Firmy, które nie miały zaimplementowane zaawansowane środki ochrony, prawdopodobnie zostały już przeskanowane przez złośliwych cyberprzestępców. Do tej pory udokumentowaliśmy ponad 1 272 000 ataków, w których celem było ponad 44% sieci korporacyjnych na całym świecie. To bez wątpienia jedna z najpoważniejszych luk internetowych w ostatnich latach. W pewnych momentach byliśmy świadkami przeszło 100 włamań związanych z luką Log4j na minutę. – mówi Lotem Finkelstein, szef działu wywiadu zagrożeń w Check Point Software.
Ataki wykorzystują zwykle lukę w Log4j do pobrania złośliwego trojana, który uruchamia pobranie pliku .exe, instalującego cryptominery, czyli programy do kopania kryptowalut. Gdy cryptominer zostanie zainstalowany, zaczyna wykorzystywać zasoby komputerów w sieci do wydobywania kryptowaluty dla zysku atakujących. Wszystko to odbywa się bez wiedzy ofiar. Co więcej wszystkie istotne funkcje i nazwy plików są zamaskowane, aby uniknąć wykrycia przez mechanizmy analizy statycznej podstawowych antywirusów.
